Агентства США скомпрометированы в результате кибератаки со стороны российской группы вымогателей

Официальные лица США заявили в четверг, что российская группа вымогателей получила доступ к данным федеральных агентств, в том числе Министерства энергетики, в ходе атаки, которая использовала программное обеспечение для передачи файлов для кражи и продажи данных пользователей.

Джейн Истерли, директор Агентства кибербезопасности и безопасности инфраструктуры, назвала утечку в значительной степени «оппортунистической» и не сосредоточилась на «конкретной важной информации» и не нанесла ущерба предыдущим кибератакам на правительственные учреждения США.

«Хотя мы очень обеспокоены этой кампанией, это не такая кампания, как SolarWinds, которая представляет системный риск», — сказал Истерли журналистам в четверг, имея в виду массовый взлом, затронувший несколько американских спецслужб в 2020 году.

Министерство энергетики заявило в четверг, что записи двух организаций внутри ведомства были скомпрометированы и что оно уведомило Конгресс и CISA об утечке.

«Министерство энергетики предприняло немедленные шаги, чтобы предотвратить дальнейшую уязвимость», — сказал Чад Смит, заместитель пресс-секретаря Министерства энергетики.

Представители Госдепартамента и ФБР отказались комментировать, пострадали ли их агентства.

По оценке следователей CISA и ФБР, сказал Истерли, взлом был частью более крупной операции по вымогательству, проведенной Clop, российской бандой вымогателей, которая использовала уязвимость в MOVEit и атаковала ряд местных органов власти, университеты и предприятия.

Ранее в этом месяце правительственные чиновники в ИллинойсИ Новая Шотландия И Лондон Они показали, что были среди пользователей программного обеспечения, пострадавших от атаки. British Airways BBC сообщила, что они также пострадали от взлома. Университет Джонса Хопкинса, Университетская система Джорджии и европейский нефтегазовый гигант Shell выступили с аналогичными заявлениями относительно атаки.

Высокопоставленный чиновник CISA сказал, что пострадало лишь небольшое количество федеральных агентств, но отказался сообщить, какие из них были затронуты. Но чиновник добавил, что в первоначальных отчетах частного сектора указывалось, что пострадало не менее нескольких сотен компаний и организаций. Чиновник говорил на условиях анонимности, чтобы обсудить нападение.

Согласно данным, собранным GovSpend, MOVEit был приобретен рядом государственных учреждений, в том числе НАСА, Министерством финансов, здравоохранения и социальных служб и Министерством обороны. Но неясно, сколько агентств активно его используют.

Clop ранее взял на себя ответственность за предыдущую волну нарушений на своем сайте.

Группа заявила, что она «не заинтересована» в использовании и удалении любых данных, украденных из государственных или полицейских учреждений, сосредоточившись исключительно на украденной коммерческой информации.

Роберт Дж. Кэри, президент компании Cloudera Government Solutions, занимающейся кибербезопасностью, отметил, что данные, украденные в результате атак программ-вымогателей, могут быть легко проданы другим незаконным субъектам.

«Любой, кто использует это, потенциально подвергается риску», — сказал он, имея в виду MOVEit.

Выяснилось, что федеральные агентства также были среди пострадавших Ранее сообщал CNN..

Представитель MOVEit, принадлежащего Progress Software, сказал, что компания «взаимодействует с федеральными и другими правоохранительными органами» и будет «бороться со все более изощренными и настойчивыми киберпреступниками, которые намерены злонамеренно использовать уязвимости в широко используемых программных продуктах». Первоначально компания обнаружила уязвимость в своем программном обеспечении в мае, выпустила исправление, и CISA добавила его в свое программное обеспечение. Онлайн-каталог Из известных уязвимостей безопасности 2 июня.

На вопрос о возможности того, что Клопп действовал в координации с российским правительством, представитель Агентства национальной безопасности США сказал, что у агентства нет доказательств, позволяющих предположить такую ​​координацию.

Нарушение MOVEit является еще одним примером того, как правительственные учреждения становятся жертвами организованной киберпреступности со стороны российских групп, поскольку кампании программ-вымогателей, широко направленные против западных целей, неоднократно приводили к отключению критически важной гражданской инфраструктуры, включая больницы, энергосистемы и городские службы.

Исторически сложилось так, что некоторые атаки, как представляется, были мотивированы в первую очередь финансовыми мотивами, например, когда 1500 компаний по всему миру пострадали от атаки российского шифровальщика в 2021 году.

Но в последние месяцы российские группы вымогателей также участвовали в политических атаках, якобы с молчаливого одобрения российского правительства, нацеленных на страны, которые поддерживали Украину после прошлогоднего российского вторжения.

Вскоре после вторжения 27 правительственных учреждений в Коста-Рике подверглись атакам программ-вымогателей другой российской группировки, Conte, что вынудило президента страны объявить чрезвычайное положение в стране.

Кибератаки, исходящие из России, уже были предметом разногласий в американо-российских отношениях еще до войны на Украине. Этот вопрос был в центре внимания Белого дома, когда президент Байден встретился с президентом России Владимиром Путиным в 2021 году.

Атака с целью получения выкупа на один из крупнейших газопроводов в Соединенных Штатах, совершенная группой, предположительно находящейся в России, вынудила оператора трубопровода заплатить 5 миллионов долларов за восстановление украденных данных всего за месяц до встречи Байдена и Путина. Позже федеральные следователи заявили, что они вернули большую часть выкупа в ходе электронной операции.

Также в четверг аналитики фирмы по кибербезопасности Mandiant выявили атаку на Barracuda Networks, поставщика услуг по обеспечению безопасности электронной почты, которая, по их словам, была частью китайских шпионских усилий. Нарушение также затронуло ряд государственных и частных организаций, в том числе Министерство иностранных дел АСЕАН и внешнеторговые представительства в Гонконге и Тайване, пишет Mandiant в своем отчете. отчет.